Warum das WP-Admin-Versteckspiel in Wahrheit gar nichts bringt

WordPress ist ein weitverbreitetes Content Management System, das beliebteste überhaupt, wie es die Zahlen und Fakten erst vor Kurzem wieder zeigten. Doch Popularität bringt immer auch negative Aspekte mit sich und einer dieser negativen Aspekte ist, dass WordPress dadurch ein ebenso beliebtes Angriffsziel wurde.

Weil WordPress außerdem auf jedem Server gleich funktioniert, die gleichen Strukturen besitzt und somit auch die identischen Sicherheitslücken aufweist, die dann auf potenziell allen WordPress Blogs vorhanden sind, wenn es denn welche gibt, sind viele dieser Hackversuche in der Regel sogenannte Brute-Force-Attacken. Also das Stumpfe angreifen und ausprobieren nach der Holzhammer-Methode, beispielsweise das Durchprobieren von Standard-Logins (Nutzername: Admin). Ein typisches Angriffsziel ist daher auch WP-Admin-Bereich.

Das führte in der Vergangenheit meist dazu, dass dieser immer besser und aufwendiger versteckt, umbenannt oder sogar gänzlich verschleiert wurde. Doch bringt das alles wirklich was oder ist es in Wahrheit völlig nutzlos? Genau dieser Frage möchte ich heute auf den Grund gehen.

Warum überhaupt den Admin-Bereich verstecken?

Ignorieren wir das Thema Sicherheit für einen Augenblick. Weil WordPress verbreitet ist und die Seitenstruktur bekannt, gibt es den ganzen Tag über automatisierte Zugriffe und Hackversuche auf den Admin-Bereich. Das ist einfach so. Je höher die Zahl dieser Angriffe, desto stärker hat der eigene Server darunter zu leiden, die Performance sinkt, Ladezeiten erhöhen sich, es kommt im schlimmsten Fall dazu, dass der Server komplett zusammenbricht und der WordPress Blog down geht.

Ein Aspekt davon, den WP-Admin zu verschleiern, ist demnach, durch Verhinderung dieser ständigen Login-Versuche dafür zu sorgen, dass die Performance wieder steigt. Zusätzlich helfen hier auch Plugins wie Limit Login Attempts, die den Bereich nach mehreren Fehlversuchen schlichtweg abriegeln. Mehrmals das falsche Passwort eingegeben, Zugang blockiert, ganz einfach.

Limit Login Attempts Reloaded

Wenn der WP-Admin also nicht bekannt ist, weil er beispielsweise nicht mehr unter »/wp-admin« zu finden ist, kann er folglich auch nicht mehr angegriffen werden, so die simple Theorie. Das trifft aber nur auf die gängigen und weitgehend automatisierten Angriffe zu, denn natürlich sind auch Hacker nicht dumm und finden relativ schnell heraus, wohin der WP-Admin verschoben oder umbenannt wurde.

Trotzdem: Verstecken scheint erst einmal Wirkung zu zeigen, weil zumindest die offensichtlichen Angriffsziele verschwinden und im besten Fall die Performance steigt, da eine Vielzahl an Hackversuchen nun ins Leere läuft.

Möglichkeiten den WP-Admin verstecken

Wie immer bei WordPress geschieht das mittels Plugin. Zumindest ist dies die einfache Methode, denn eine tatsächliche Umbenennung und Umleitung erfordert dann doch viel Fachwissen und wer dabei Fehler begeht, sperrt sich möglicherweise komplett aus oder legt seinen WordPress Blog lahm.

Hide Login heißt das Plugin, welches den Admin-Bereich kurzerhand umbenennt und den Zugriff, so wie gewohnt, abriegelt. Das funktioniert recht einfach, sehr schnell und sollte für die meisten WordPress-Nutzer eine einfache und akzeptable Lösung sein.

WPS Hide Login

Persönlich sperre ich den Ordner »/wp-admin« gerne komplett über die .htaccess und richte anschließend eine .htpasswd ein, die den Zugriff nur noch via Kennwort erlaubt. Auch das hält Hacker potenziell erst einmal ab, da sie mit diesem Schutz nicht rechnen, sondern nur auf den automatischen Login-Versuch bei WordPress hin optimiert wurden. Mit der .htpasswd wird der Bereich allerdings nicht versteckt, sondern nur durch ein Passwort auf Ebene des Servers abgeschlossen.

Firewall einrichten und den Blog abriegeln

Äußerst effektiv kann es sein, eine Firewall für den eigenen Blog einzurichten. Da gibt es große, komplizierte WordPress Plugins für, die natürlich kostenpflichtig sind, ebenso wie kleinere Erweiterungen. Und es gibt die sogenannte nG Firewall, eine Art Blacklist für die .htaccess.

Von der Firewall via .htaccess bin ich ein großer Freund, da sie auch viele Regeln besitzt, die explizit WordPress und bekannte Sicherheitslücken oder automatisierte Zugriffe betreffen. So lassen sich, noch bevor ein Zugriff entsteht, Angreifer entsprechend aussperren. Das betrifft dann bestimmte Regeln und Parameter, die via .htaccess schlichtweg blockiert werden. Bei einem versuchten Zugriff auf solche Parameter, wird der Zugriffsversuch dann vom Server abgewiesen und der vermeintliche Hacker bekommt einen entsprechenden Fehlercode.

Firewalls haben jedoch ein anderes Problem. Falsch eingestellt, gibt es immer auch Falschmeldungen, was dann potenziell echte Nutzer aussperrt, die aus irgendeinem Grund von der Firewall blockiert werden. Hier gilt es also eher vorsichtig zu sein. Wer sich nicht auskennt, blockiert meist zu viel oder setzt die Firewall falsch ein. Die korrekte Handhabung erfordert also einiges an Fachwissen.

Fazit zur Sicherheit des WP-Admin in WordPress

Bleibt die Frage, ob der WP-Admin nun geschützt oder nicht geschützt werden sollte. Ob der Aufwand sich lohnt. Ob das alles wirklich sicher ist und auch so funktioniert, wie vorab erhofft.

Die kurze Antwort:

100 Prozent Sicherheit gibt es nicht und wird es nie geben. Es geht, gerade im Internet, eher darum, alles bestmöglich abzusichern oder wie in diesem Falle zusätzlich zu verschleiern, wenn Strukturen allseits bekannt und immer gleich sind.

Fakt ist auch, dass Hacker, die euren Blog kapern wollen, den versteckten Admin-Bereich finden werden. Gleichzeitig gilt aber, dass vieles eben automatisiert abläuft und von solchen Täuschungsmanövern dann abgewiesen werden kann. Auch die Firewall wirkt Wunder und blockiert viele automatisierte Zugriffe. Die Illusion, sie würde euch vollständig schützen, ist aber eben nur eine Illusion. Diesen Schutz gibt es nicht. Dafür müsstet ihr jemand einstellen, der eure Sicherheit permanent überwacht, anpasst und selbst dann wäre das kein Garant dafür, dass nicht doch noch eine Lücke übersehen wurde.

Achtung! Es gibt auch eine Menge Plugins die einfach nur total unnötig sind und nichts bringen. Stichwort:
Security through obscurity, siehe https://binary-butterfly.de/artikel/wordpress-login-security-eine-stahltuer-in-der-wellblechhuette/

Die Frage, die sich am Ende stellt, ist also immer: Was kostet mich die Sicherheit? Wie groß ist mein Budget? Wie stark ist mein Server und wie sehr leidet er unter möglichen Angriffen? Gab es schon einmal einen Hack? Hier muss jeder selbst abwägen, welche Sicherheitsmaßnahmen er am Ende umsetzt. Den Admin-Bereich von WordPress zu verstecken ist dabei nur ein winziger Teil, der geringfügigen Nutzen hat, schlussendlich also nur ein Hauch von Sicherheit mit sich bringt. Für tatsächliche Sicherheit braucht es ein Gesamtkonzept und eine entsprechende Überwachung.

*Photo by Ben Hershey on Unsplash
Standardbild
Mario
Hier schreibt Mario Röder, Gründer und Inhaber von Digital-Workshop.at. Ich helfe Unternehmen und Online Shop Betreibern, ihre Webseite zu optimieren und zu pflegen. Somit haben Sie mehr Zeit für Ihr Unternehmen und mehr Erfolg.
Abonnieren
Benachrichtige mich bei
1 Kommentar
Oldest
Newest Most Voted
Inline Feedbacks
View all comments

Interessant! Dachte bislang immer, das würde mehr bringen und habe selbst einigen Aufwand betrieben, um den Admin bestmöglich zu kaschieren.